CN108462702B - 用于运行总线上的控制设备的方法和装置 - Google Patents

用于运行总线上的控制设备的方法和装置 Download PDF

Info

Publication number
CN108462702B
CN108462702B CN201810151236.3A CN201810151236A CN108462702B CN 108462702 B CN108462702 B CN 108462702B CN 201810151236 A CN201810151236 A CN 201810151236A CN 108462702 B CN108462702 B CN 108462702B
Authority
CN
China
Prior art keywords
control device
bus
message
filtering
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810151236.3A
Other languages
English (en)
Other versions
CN108462702A (zh
Inventor
A.穆特
R.纪尧姆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN108462702A publication Critical patent/CN108462702A/zh
Application granted granted Critical
Publication of CN108462702B publication Critical patent/CN108462702B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

本发明涉及用于运行总线上的控制设备的方法和装置。用于运行总线(20)上的控制设备的方法(10),其特征在于以下特征:经由所述总线(20)要传输的消息根据过滤列表通过所述控制设备的过滤功能(29)被监控;以及所述消息根据通过所述过滤列表所定义的过滤准则通过所述过滤功能(29)按具体情况地被扣发。

Description

用于运行总线上的控制设备的方法和装置
技术领域
本发明涉及用于运行总线上的控制设备的方法。本发明此外涉及相应的装置、相应的计算机程序以及相应的存储介质。
背景技术
根据ISO 11898-2为了在道路运输工具中应用被标准化的控制器局域网(controller area network, CAN)在控制和调节技术中是充分已知的。CAN基于面向消息的协议,在该协议情况下每个消息通过唯一标志(identifier(标识符),ID)被标明。每个连接到CAN上的控制设备根据该ID独立地检验经由共同总线所传输的消息的相关性并且决定其利用。
在比特传输层(physical layer(物理层),PHY)上的发送接收器(transceiver(收发器))用于在CAN中运行控制设备,该发送接收器由安全层(data link layer(数据链路层))上的通信控制器操控。后者又可以直接集成在微控制器(μC)中,该微控制器的软件对应用层(application layer(应用层))上的消息的电报帧(帧)进行处理。
在DE 10 2015 207 220 A1中介绍一种用于在网络、尤其是CAN中生成机密(Geheimnisses)或者密钥的方法。在此情况下,该网络具有至少一个第一和第二用户以及在至少该第一与第二用户之间的传输通道。第一和第二用户分别可以将至少一个第一值和第二值给出到传输通道上。第一用户或第二用户促使第一用户值序列或第二用户值序列彼此尽可能同步地传输到所述传输通道上。基于关于第一用户值序列或第二用户值序列的信息以及基于从第一用户值序列与第二用户值序列在传输通道上的叠加得出的叠加值序列,第一用户或第二用户生成共同机密或者共同密钥。该方法随后被称为PnS。
发明内容
本发明提供根据独立权利要求所述的用于运行总线上的控制设备的方法、相应的装置、相应的计算机程序以及相应的存储介质。这些实施方式的共同特征是如例如从防火墙已知的用于防护(Absicherung)的过滤功能。术语“过滤(Filter)”在此情况下应在广泛词义上来理解并且例如不仅将有针对性地从总线退耦包括在内,而且将对特定的帧的主动识别和破坏包括在内。
所建议的方案认识到:在PnS密钥生成过程中存在通过中间人(man in themiddle, MITM)攻击的危险。这种攻击可能利用:当用户不拥有共同机密并且该用户的身份不能由值得信任的其他方检验时,在PnS情况下(在第一次密钥生成之前)首先不可能进行足够的认证(Authentisierung)。如果用于认证的可能性由于复杂性原因而不被利用,则MITM攻击在正在进行的运行中也是可能的。本发明的一个方面因此在于,针对MITM攻击来对PnS进行防卫。为此不需要对各个节点的认证。
与此相应地,在这里所介绍的解决方案的优势在于:基于PnS的系统更好地被保护免受MITM攻击。在此,可以放弃借助于密码密钥进行的认证。
通过在从属权利要求中所提及的措施,在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。因此可以规定:通过控制设备的安全(gesicherten)发送接收器(secure transceiver(安全收发器))执行所述的过滤功能。针对MITM攻击的保护作用在该实施方式中稳健得多,因为防火墙功能性在发送接收器中而不是在微控制器自身中被实施:微控制器可能由于由恶意软件进行的侵害而不执行监控,或者该微控制器可能(例如为了诊断目的)而被置于特殊模式中,在该特殊模式中该微控制器不完成其功能。在微控制器中所实施的过滤功能因此与按硬件分开的实施相比更易受攻击,但是所述过滤功能仍然提供针对MITM攻击的保护。对发送接收器的相应操纵变得明显更加耗费,使得在该情景下可比的(vergleichbarer)攻击是不可能的。
附图说明
本发明的实施例在附图中示出并且在随后的描述中更详细地予以阐述。其中:
图1示出根据第一实施方式的方法的流程图。
图2 示意性地示出根据第二实施方式的CAN。
具体实施方式
图1图解基本功能方面:经由总线要传输的消息根据过滤列表(Filterlisten)(外部数据14)通过控制设备的过滤功能(Filterfunktion)被监控(过程11),并且根据通过过滤列表(14)所定义的过滤准则通过过滤功能按具体情况地(fallweise)(判定12)被扣发(unterdrückt)(过程13)。这可能如在下文中应阐述的那样尤其由于有针对性地从总线退耦发生,又(als auch)由于特定帧的主动识别和破坏而发生。
以下配置应该阐明该流程:应采用第一控制设备(21)、第二控制设备(22)和第三控制设备(23),所述第一控制设备、第二控制设备和第三控制设备应该借助于PnS共同地商定密码密钥。此外存在第四控制设备(24),该第四控制设备并不属于该组并且被用于执行MITM攻击(Angriff)。图2示出具有所述示例性用户的CAN总线(20)以及具有安全发送接收器(28)的控制设备(21、22、23、24)的构造。原则上,考虑过滤功能(29)的随后描述的两个实施方式,所述实施方式能够可选地组合。
根据第一变型方案,安全发送接收器(28)在自身的控制设备上监控自己所发送的帧。如果第四控制设备(24)现在发送该第四控制设备不该发送的帧,则安全发送接收器(28)将第四控制设备(24)从CAN总线(20)退耦,其方式是,所述发送接收器例如在将来忽视发送信号(transmit(发送),Tx)并且在CAN总线(20)上仅还发送隐性信号(rezessivesSignal)。该发送接收器(25)的配置可以根据所准许的(freigegebener)ID的肯定列表(白名单)(其他消息导致控制设备的退耦)或者不允许的ID的否定列表(黑名单)(相应标明的消息导致控制设备的退耦)来进行。
根据第二变型方案,相应的安全发送接收器(28)监控在CAN总线(20)上所发送的帧。如果第四控制设备(24)现在发送仅第三控制设备(23)允许发送的帧,则第三控制设备(23)的安全发送接收器(28)破坏该帧。安全发送接收器(28)的配置在这里也可以根据肯定列表或否定列表来进行。
此外,能够设想两种应用情景:
在第一情景中,第一控制设备(21)、第二控制设备(22)和第三控制设备(23)拥有为了共同地生成密钥而在所有三个节点中所使用的ID。例如考虑为了交换PnS比特序列或根据在更高抽象层面上的协议为了控制密钥生成所使用的ID。针对标准CAN通信对ID的共同使用考虑其有限的可用性,然而另一方面却要求全面的协调,以便两个节点从未同时发送具有相同ID的通知(Botschaft)。为了交换PnS比特序列,对共同ID的使用是强制性的。
在使用至少一个这样由第一控制设备(21)、第二控制设备(22)和第三控制设备(23)共同为了生成密钥所使用的ID的情况下,上面所阐述的第一方法变型方案适合。对此,禁止第四控制设备(24)以共同所使用的ID之一发送消息。因此,第四控制设备(24)不再能够执行MITM攻击,因为所述第四控制设备不能发送对于密钥生成可能会必要的特定通知。因此,第四控制设备(24)不能渗透(infiltrieren)由第一控制设备(21)、第二控制设备(22)和第三控制设备(23)为了密钥生成的目的所构成的组。
为了作为MITM操纵密钥生成,第四控制设备(24)必须能够参与由第一控制设备(21)、第二控制设备(22)和第三控制设备(23)所构成的组的密钥交换。第四控制设备(24)的安全发送接收器(28)因此如此被配置,使得第四控制设备(24)不能发送至少一个对于密钥交换而言所需要的帧。尤其应考虑到为了交换PnS比特序列所使用的ID:该ID对于密钥交换是基本的,因为具有该ID的帧在总线(20)上叠加。所述组中的每个节点允许发送这样的帧。第四控制设备(24)的安全发送接收器(28)因此优选地如此被配置,使得第四控制设备(24)不能发送这样的帧。因此,一旦第四控制设备(24)发送具有为此所保留(reserviert)的ID的帧,该第四控制设备(24)就在其MITM攻击情况下从CAN总线(20)被退耦。这种分离应该至少持续直至PnS方法的结束。
在第二情景中,第一控制设备(21)、第二控制设备(22)和第三控制设备(23)分别拥有至少一个用于密钥生成的排他地(exklusiv)分派的ID。因此,至少对于PnS密钥生成的持续时间而言,该组的每个节点使用唯一的标志用于经由CAN总线(20)传输消息。如果例如ID 0×100仅仅是为第一控制设备(21)保留的,则不管是第二控制设备(22)、第三控制设备(23)还是第四控制设备(24)都不允许经由总线(20)发送具有ID 0×100的帧。为了使在第一控制设备(21)、第二控制设备(22)和第三控制设备(23)之间的密钥交换成功地结束,这些节点中的每一个都必须在密钥交换期间至少一次地发送具有其排他式ID的帧。例如,所述节点可能对于所述帧使用排他式ID,以便确认:所述节点已经成功地验证了新生成的密钥。在该情景中,MITM保护可以在上面所讨论的变型方案的两者中得以实现。
在第一变型方案的假设下,第四控制设备(24)例如可能被滥用用于作为MITM操纵密钥生成。为此,第四控制设备(24)必须能够参与在第一控制设备(21)、第二控制设备(22)和第三控制设备(23)之间的密钥交换。第四控制设备(24)的安全发送接收器(28)因此如此被配置,使得该第四控制设备不能发送至少一个对于每个控制设备(21、22、23)而言的为了密钥交换所需要的ID,例如对于第一控制设备(21)、第二控制设备(22)和第三控制设备(23)排他地保留的ID。因此,第四控制设备(24)既不能“冒充(ausgeben)”第一控制设备(21)、第二控制设备(22)也不能“冒充”第三控制设备(23)。一旦第四控制设备(24)发送相应的帧,该第四控制设备(24)因此就在其MITM攻击情况下从CAN总线(20)被退耦。
在第二变型方案的假设下,第一控制设备(21)、第二控制设备(22)和第三控制设备(23)的安全发送接收器(28)可能单独地被配置。例如,第一控制设备(21)的安全发送接收器(28)为此作为唯一一个被授权,发送具有ID 0×100的帧。因此,虽然第一控制设备(21)没有发送过具有该ID的消息,但是如果第一控制设备(21)的该安全发送接收器(28)在总线(20)上发现这样的消息,则该第一控制设备破坏总线(20)上的该帧,例如通过用显性比特来改写隐性比特来破坏。第二控制设备(22)和第三控制设备(23)的安全发送接收器(28)相应地被配置,例如第二控制设备(22)的该安全发送接收器用排他式ID 0×101配置,并且第三控制设备(23)的该安全发送接收器用排他式ID 0×102配置。第四控制设备(24)的安全发送接收器(28)为此不必被配置。如果现在控制设备(21、22、23、24)之一被滥用用于MITM攻击并且冒充另一控制设备,则一旦该控制设备发出具有排他式ID的帧,该攻击就被识别出。MITM攻击因此将会被防止。
与所提到的变型方案无关地,安全发送接收器(28)不必强制性地将ID考虑为过滤准则,而是原则上可以考虑帧的每个其他字段或比特(可能以组合的方式)。根据完整帧的过滤也是能设想的,而不偏离本发明的范围。
同样地,发送接收器(25)不大需要(wenig müssen)强制性地能够被配置,而是可以拥有固定保存的否定列表或肯定列表。PnS密钥生成于是应该在考虑这些列表的情况下进行,以便提供MITM保护。
根据一种实施方式的方法(10)与PnS方法是在微控制器(26)中还是在安全发送接收器(28)中被实施无关地起作用。即使过滤功能(29)不通过安全发送接收器(28)自身、而是通过在收发器(25)和微控制器(26)之间的单独的构件、在微控制器(26)中作为独立的电路或在微控制器(26)中借助于CAN通信控制器(27)被执行时,该方法(10)也起作用。

Claims (7)

1.用于运行总线(20)上的多个控制设备的方法(10),其中所述多个控制设备包括共同商定密码密钥的至少两个控制设备以及用于执行攻击的第三控制设备,其特征在于以下特征:
- 根据过滤列表(14)通过所述多个控制设备中每个控制设备的过滤功能(29)监控(11)要经由所述总线(20)传输的消息;以及
- 根据通过所述过滤列表(14)所定义的过滤准则通过所述过滤功能(29)按具体情况地(12)扣发(13)所述消息,
其中当所述第三控制设备发送不允许其发送的消息时,将所述第三控制设备从所述总线(20)退耦,和/或
其中当所述第三控制设备发送了仅允许所述至少两个控制设备之一发送的消息时,所述至少两个控制设备之一干扰所述消息。
2.根据权利要求1所述的方法(10),其特征在于以下特征:
- 通过所述控制设备的安全发送接收器(28)执行所述过滤功能(29)。
3.根据权利要求2所述的方法(10),其特征在于以下特征:
- 所述过滤准则涉及所述消息的消息标志。
4.根据权利要求3所述的方法(10),其特征在于,
所述过滤列表(14)包括以下至少之一:
- 允许的消息标志的肯定列表;或
- 不允许的消息标志的否定列表。
5.根据权利要求1所述的方法(10),其特征在于以下特征:
- 通过所述控制设备的微控制器(26)借助于通信控制器(27)执行所述过滤功能(29)。
6.机器可读存储介质,其上存储有计算机程序,所述计算机程序被设立用于实施根据权利要求1至5之一所述的方法(10)。
7.用于运行总线(20)上的多个控制设备的装置(20、21、22、23、24),所述装置被设立用于实施根据权利要求1至5之一所述的方法(10)。
CN201810151236.3A 2017-02-17 2018-02-14 用于运行总线上的控制设备的方法和装置 Active CN108462702B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017202602.2 2017-02-17
DE102017202602.2A DE102017202602A1 (de) 2017-02-17 2017-02-17 Verfahren und Vorrichtung zum Betreiben eines Steuergerätes an einem Bus

Publications (2)

Publication Number Publication Date
CN108462702A CN108462702A (zh) 2018-08-28
CN108462702B true CN108462702B (zh) 2023-02-03

Family

ID=63046085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810151236.3A Active CN108462702B (zh) 2017-02-17 2018-02-14 用于运行总线上的控制设备的方法和装置

Country Status (2)

Country Link
CN (1) CN108462702B (zh)
DE (1) DE102017202602A1 (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104717201A (zh) * 2013-12-12 2015-06-17 日立汽车系统株式会社 网络装置以及网络系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2487483C2 (ru) * 2008-03-10 2013-07-10 Роберт Бош Гмбх Способ и фильтрующее устройство для фильтрации сообщений, поступающих абоненту коммуникационной сети по последовательной шине данных этой сети
EP2339790A1 (en) * 2009-12-28 2011-06-29 Nxp B.V. Definition of wakeup bus messages for partial networking
CN102006245B (zh) * 2010-12-10 2013-01-30 重庆亚德科技股份有限公司 一种数据交换和共享平台
EP2786543B1 (en) * 2011-12-01 2019-03-27 Intel Corporation Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
GB201315826D0 (en) * 2013-09-05 2013-10-23 Trw Ltd Safety filter

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104717201A (zh) * 2013-12-12 2015-06-17 日立汽车系统株式会社 网络装置以及网络系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DES/EE-02037-1.ETSI Standard Environmental Engineering (EE) *
Monitoring and Control Interface for Infrastructure Equipment (Power, Cooling and Building Environment Systems used in Telecommunication Networks) Part 1: Generic Interface.《ETSI ES 202 336-1》.2007, *
基于Arm CAN现场总线的油库实时监控系统;王博文;《计算机系统应用》;20110415(第04期);全文 *

Also Published As

Publication number Publication date
CN108462702A (zh) 2018-08-28
DE102017202602A1 (de) 2018-08-23

Similar Documents

Publication Publication Date Title
US11606341B2 (en) Apparatus for use in a can system
CN106576096B (zh) 用于对具有不等能力的设备的认证的装置、方法及介质
CN108965215B (zh) 一种多融合联动响应的动态安全方法与系统
JP6378365B2 (ja) ネットワークで秘密または鍵を生成する方法
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
EP3348036B1 (en) Unauthorized access event notificaiton for vehicle electronic control units
KR101754951B1 (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
CN107836095B (zh) 用于在网络中产生秘密或密钥的方法
CN111077883A (zh) 一种基于can总线的车载网络安全防护方法及装置
KR101476995B1 (ko) 암호 키의 조작­방지 생성 방법 및 시스템
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
Oyler et al. Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors
Kornaros et al. Trustnet: ensuring normal-world and trusted-world can-bus networking
CN112567713B (zh) 防攻击的网络接口
CN105743863A (zh) 一种对报文进行处理的方法及装置
Oberti et al. Taurum p2t: Advanced secure can-fd architecture for road vehicle
CN108462702B (zh) 用于运行总线上的控制设备的方法和装置
CN102316119B (zh) 一种安全控制方法和设备
Tashiro et al. A secure protocol consisting of two different security-level message authentications over CAN
US10841085B2 (en) Method for generating a secret or a key in a network
KR101705639B1 (ko) 차량 네트워크 시스템에서의 메시지 송수신 방법
Sahana et al. Survey on can-bus packet filtering firewall
Soderi et al. SENECAN: secure KEy DistributioN OvEr CAN through watermarking and jamming
CN108141359B (zh) 用于产生共同的秘密的方法和设备
KR20220135899A (ko) 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant